Milioni računara zaraženi kroz maliciozne oglase

Malvertajzing mreža svakoga dana zarazi na hiljade računara, a ponekad čak i do milion dnevno!

Milioni računara zaraženi kroz maliciozne oglase

Nedavno je otkrivena malvertajzing mreža (od reči malicious i advertising, označava korišenje oglasa za širenje malvera), iza koje stoji AdGholas grupa, za koju se procenjuje da svakoga dana zarazi na hiljade računara, a ponekad čak i do milion dnevno. U napadu se distribuiraju različiti bankarski trojanci, ali i ransomware. AdGholas malvertajzing mreža je najsofisticiranija šema za masovnu infekciju „na slepo“ koja je ikada viđena.

AdGholas grupa je aktivna od 2015. godine. Za napad na potencijalne žrtve koristi sofisticiranu kombinaciju tehnika, HTTPS protokole, veliki broj pametno osmišljenih filtera, maskiranje domena, zahvaljujući čemu su uspeli da ostanu neotkriveni više od godinu dana. U napadima AdGholas grupe zabeleženo je prvo korišćenje steganografije (sakrivanje fajla u drugom fajlu) u drive-by malver kampanji.

Pripadnici AdGholas grupe odlično poznaju i funkcionisanje advertajzing industrije, što im je omogućilo da namame velike agencije, odnosno platforme za oglašavanje i razmenu reklama, da im generišu veliku količinu saobraćaja sa sajtova vrednosti. AdGholas je na taj način dobijao 1-5 miliona klikova svakog dana, a 10-20% je preusmeravano na Astrum alat za eksploataciju.

Ovu malvertajzing mrežu je otkrio Proofpoint, kada je više univerziteta u Velikoj Britaniji prijavilo da su postali žrtva ransomwarea. Utvrđeno je da je u pitanju Mole ransomware koji je isporučivan pomoću Astrum (Stegano) alata za eksploataciju koji se koristi u drive-by malvertajzing napadima.

Ono što je karakteristično za ovu malvertajzing mrežu je da je pristup varirao u zavisnosti od korisnika i lokacije. Dakle, nisu sve AdGholas kampanje iste, ali sve imaju iste višeslojne filtere i tehnike sakrivanja.

Iako se beleži trend smanjivanja drive-by malver napada, AdGholas je dokaz da ovakvi napadi mogu biti itekako opasni. Možemo da vidimo da malvertajzing kampanje evoluiraju i usvajaju nove i sofisticiranije tehnike koje im omogućavaju da ostanu sakrivene čak i od najnovijih bezbednosnih mehanizama.

Važno je napomenuti još i to da kod drive-by malvertajzing napada nije potrebno da žrtva klikne na reklamu kako bi se zarazila; dovoljno je da se reklama pojavi. Ako računar ima ranjivosti i ako je targetiran, infekcija se događa bez ikakve interakcije korisnika - još jedan dobar razlog da redovno ažurirate OS i softver.

Izvor: infosecurity-magazine.com